グラフ RAG と MITRE ATT&CK

フラットな RAG は段落を返す。だが攻撃オペレーションは関係で考える — この技術があれを可能にし、この攻撃者はこのマルウェアを使い、この緩和策はこの連鎖を断つ。だから Beorn を MITRE ATT&CK 上のナレッジグラフへ接続した。

チャンクから TTP グラフへ

戦術・技術・サブ技術・グループ・緩和策をノード、ATT&CK の関係をエッジとしてモデル化する。インデックスした各ライトアップは、それが示す技術へリンクされる。検索は「類似文書」ではなく「ここから何ができるか」になる。

キルチェーンをたどる検索

agent が実行を得たとき、「永続化に関するテキスト」は求めない。現在の技術から次の戦術へグラフをたどり、標的で観測した内容で重み付けする。

graph.walk({ from: "T1190",
  toward: ["persistence","privilege-escalation"],
  filter: { platform: "linux", observed: true }, k: 5 })

なぜグラフが勝るのか

グラフは 精度(キュレートされたエッジ)、説明可能性(各提案が経路を伴う)、網羅性(埋め込みが引き寄せない隣接技術)を与える。あいまい検索はベクトルストア、次の一手はグラフが決める。

私たちが提供するもの

Beorn は抜粋でなく ATT&CK のサブグラフで応答する。agent は証拠に紐づくキルチェーンの地図を得て、すべてのレポートは SIEM 向けに ATT&CK へマッピングされて出力される。